Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-07191: Уязвимость программного средства удаленного доступа RealVNC, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

Основная информация
Подробнее

Описание уязвимости

Уязвимость программного средства удаленного доступа RealVNC связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии в результате использования режима MSI installer Repair

Вендор

RealVNC

Наименование ПО

RealVNC VNC Server, VNC Viewer

Версия ПО

до 6.11.0 (RealVNC VNC Server)
до 6.22.826 (VNC Viewer)

Тип ПО

Прикладное ПО информационных систем, Сетевое средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Небезопасное управление привилегиями

Идентификатор типа ошибки

CWE-269

Класс уязвимости

Уязвимость кода

Дата выявления

30.09.2022

Базовый вектор уязвимости

CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://help.realvnc.com/hc/en-us/articles/360002253138-Release-Notes#vnc-server-6-11-0-released-0-2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Нарушение авторизации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2022-41975
https://help.realvnc.com/hc/en-us/articles/360002253138-Release-Notes#vnc-server-6-11-0-released-0-2

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-41975

Прочая информация

Данные уточняются

Последние изменения